Handhaving van Certificaattransparantie voor een lijst met subjectPublicKeyInfo-hashes

Als je dit beleid instelt, wordt de handhaving van vereisten voor openbaarmaking via Certificaattransparantie uitgezet voor een lijst van subjectPublicKeyInfo-hashes. Enterprise-hosts kunnen certificaten blijven gebruiken die anders niet zouden worden vertrouwd (omdat deze niet op de juiste manier openbaar zijn gemaakt). Als je de handhaving wilt uitzetten, moet de hash aan een van de volgende voorwaarden voldoen:

* De hash maakt deel uit van een subjectPublicKeyInfo van het servercertificaat.

* De hash maakt deel uit van een subjectPublicKeyInfo die voorkomt in een CA-certificaat in de certificaatketen. Dat CA-certificaat is beperkt via de extensie X.509v3 nameConstraints, er zijn een of meer directoryName nameConstraints aanwezig in permittedSubtrees en de directoryName bevat een organizationName-kenmerk.

* De hash maakt deel uit van een subjectPublicKeyInfo die voorkomt in een CA-certificaat in de certificaatketen, het CA-certificaat heeft een of meer organizationName-kenmerken in het certificaatonderwerp en het servercertificaat bevat hetzelfde aantal organizationName-kenmerken, in dezelfde volgorde en met waarden die byte voor byte identiek zijn.

Geef een subjectPublicKeyInfo-hash op door de naam van het hash-algoritme, een slash en de Base64-codering van het betreffende toegepaste hash-algoritme te koppelen aan de subjectPublicKeyInfo met DER-codering van het opgegeven certificaat. Een indeling met Base64-codering komt overeen met die van een SPKI-vingerafdruk. Het enige herkende hash-algoritme is sha256. Andere algoritmen worden genegeerd.

Als je het beleid niet instelt, betekent dit dat als certificaten die openbaar moeten worden gemaakt via Certificaattransparantie niet openbaar worden gemaakt, de betreffende certificaten niet door Google Chrome worden vertrouwd.

Voorbeeldwaarde:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

Ondersteund op: Microsoft Windows 7 of later

Handhaving van Certificaattransparantie voor een lijst met subjectPublicKeyInfo-hashes

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

Beheersjablonen (computers)

Beheersjablonen (gebruikers)